Si hasta Facebook sufre filtraciones de datos a causa de fallas en el desarrollo de apps, el problema es realmente grande. Y para peor: a la hora de crear softwares, la preocupación por la seguridad no es tan importante como necesaria; muchos desarrolladores ni siquiera ofrecen este servicio o hablan del asunto.
Por este motivo, aunque existe hace algunos años, un cargo como el de security evangelist se ve muy poco en las empresas todavía. Justamente ese es el funcionario que se preocuparía por difundir técnicas y prácticas de seguridad a los equipos de trabajo a todos los niveles, lo que debe incluir a los responsables de las aplicaciones. Nota: al hablar de aplicaciones, aquí, nos referimos tanto a los programas mobile como desktop.
Primero, para que no ocurran filtraciones de credenciales (logins y contraseñas) o datos de tarjetas de crédito de clientes y/o funcionarios, por supuesto. De acuerdo con la GDPR (General Data Protection Regulation), estar atento para que los hackers no invadan sus sistemas o aplicaciones es una preocupación que, además de evitar problemas jurídicos, es también sinónimo de respeto y consideración que fomenta la creación de lazos de confianza.
Sin embargo, aparte de las posibles filtraciones, también es necesario estar atento para que no ocurra un efecto “bola de nieve”: cuanto más se demore en proteger los datos y las líneas de código (que sólo aumentan con el paso del tiempo), mucho más caro va a ser todo el proceso, y ni hablar del dolor de cabeza.
El aumento del uso de servicios en la nube (o más específicamente, cloud computing) es un hecho indiscutible. Según datos de Statista, desde 2011 la menor tasa de crecimiento del mercado de servicios en la nube se dio en 2017, cuando el porcentaje aumentó apenas 12.4%. 2018 fue el año que experimentó el mayor crecimiento: el aumento mundial del uso de este tipo de plataformas fue de 25.5%.
Esta es una migración importante ya que muchas empresas dejan de tener espacio físico, sólo el necesario para contener a las computadoras que almacenan todos los datos, por ejemplo. A partir de esta situación, surgen ventajas en cuanto a la seguridad: con el uso de la intranet (esa red de las empresas que permite compartir archivos sin el acceso a internet) o de los emails internos, muchas personas utilizaban (y aún lo hacen) conexiones VPN para que esos sistemas fueran utilizables cuando estaban fuera del sitio físico de la empresa. Esto puede abrir espacios para que surjan brechas para que los hackers lleven a cabo sus invasiones.
Pero el aumento del uso de internet no es un indicativo de que el ambiente es 100% más seguro: según el informe Data Breach Investigations de Verizon de este año, las filtraciones de servidores de pagos fuera de la web aún son mayoría, aunque han disminuido. Mientras tanto, las filtraciones de datos de tarjetas de servidores del tipo webapp sólo aumentan (y tienden a sobrepasar a los del otro tipo). Por eso, ¡es necesario prestar atención adicional para decidir dónde ingresar los datos de su tarjeta de crédito!
En resumen: aplicaciones web o no, mobile o desktop, es necesario que el desarrollo sea hecho de manera tal que proteja los datos e informaciones de la mejor manera; ¡y también son básicas las actualizaciones de seguridad constantes!
Existe una serie de pasos y procedimientos más adecuados para la buena protección y seguridad a la hora del desarrollo de aplicaciones. La práctica básica es seguir el Software Assurance Maturity Model (SAMM) que realiza la Open Web Application Security Project (OWASP). Es una guía (o, traduciendo, un modelo de madurez para el aseguramiento del software) hecho para orientar el desarrollo seguro de forma más eficiente.
Conviso es una empresa especializada en el desarrollo de la seguridad de aplicaciones y brinda servicios para los más diversos momentos en que es necesario trabajar en la protección de los datos del software. Sería bueno que se tomara el tiempo para leer en su blog un interesante artículo sobre cómo llevar a cabo la seguridad en el desarrollo de las aplicaciones, lo que incluye también una revisión de todo el OWASP SAMM.
El informe sobre filtraciones de Verizon también muestra que, en 2018, los dos principales tipos de eventos de filtrado de datos (que suceden juntos en la mayoría de los casos) son los de credenciales (logins y contraseña) y de informaciones internas.
En Axur, nuestras detecciones no dicen lo contrario: los principales sitios en los que encontramos filtraciones de datos e informaciones son repositorios como Pastebin (que es un modo anónimo de compartir archivos de texto) y GitHub (plataforma de hospedaje de códigos fuente). Además de las innumerables comercializaciones de listas que se dan en la deep y dark web.
Si tiene interés en contar con un monitoreo apoyado por nuestro equipo (de humanos y robots), una buena idea puede ser utilizar la plataforma Axur One con la solución para Filtración de códigos de programación. También es posible tener alertas constantes de detecciones de contraseñas y pins de tarjetas de crédito: Hashcast y/o Cardcast.